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Abstract 

Information technology that is increasingly developing reguires a security mechanism that can guarantee 
confidentiality, integrity, and availability. one of the existing information technologies within 
Muhammadiyah Metro University, namely SISTER (Integrated Resource Information System) SISTER is 
an application that is used to fill in the portfolios of educators in Indonesia. SISTER is installed in each 
tertiary institution, the SISTER problem for university administrators is that this system does not give 
root access to university administrators so if there is an abnormality in the application it will make it 
difficult for administrators to block access from attackers, for this reason, this research will analyze the 
traffic that is on SISTER and see abnormal activity using the Wireshark tool so that if there is abnormal 
activity on the SISTER network it can be blocked on the internet network side through the router, this 
research will also test penetration testing on SISTER using the HPING3 tool to find out whether 
Wireshark can detect attacks which are conducted. The results of this study are an analysis of abnormal 
activity at SISTER Muhammadiyah University Metro and anticipating using a firewall, the result is that 
Wireshark can detect HPING3 attacks and the attacker's IP address can be blocked with a firewall. 
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Abstrak 

Teknologi informasi yang semakin berkembang membutuhkan mekanisme keamanan yang dapat 
menjamin kerahasiaan, integritas, dan ketersediaan. salah satu teknologi informasi yang ada di 
Universitas Muhammadiyah Metro yaitu SISTER (Integrated Resource Information System) SISTER 
adalah aplikasi yang digunakan untuk mengisi portofolio tenaga pendidik di Indonesia. SISTER dipasang 
di setiap perguruan tinggi, permasalahan SISTER bagi pengelola universitas adalah sistem ini tidak 
memberikan akses root kepada pengelola universitas sehingga jika terjadi penyalahgunaan pada aplikasi 
akan menyulitkan pengelola untuk memblokir akses dari attacker, untuk itu karena penelitian ini akan 
menganalisa trafik yang ada pada SISTER dan melihat aktivitas penyalahgunaan menggunakan tool 
Wireshark sehingga jika terjadi aktivitas penyalahgunaan pada jaringan SISTER dapat di blokir pada 
sisi jaringan internet melalui router, penelitian ini juga akan menguji penetrasi pengujian pada SISTER 
menggunakan tool HPING3 untuk mengetahui apakah Wireshark dapat mendeteksi serangan yang 
dilakukan. Hasil dari penelitian ini adalah analisis aktivitas penyalahgunaan SISTER Universitas 
Muhammadiyah Metro dan mengantisipasinya menggunakan firewall, hasilnya Wireshark dapat 
mendeteksi serangan HPING3 dan alamat IP penyerang dapat diblokir dengan firewall. 
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1. PENDAHULUAN 

SISTER (Sistem Informasi Sumberdaya 
Terintegrasi), merupakan aplikasi pelaporan 
portofolio bagi dosen (tenaga kependidikan), 
aplikasi ini digunakan untuk melengkapi data 
dosen yang belum ada pada Pangkalan Data 
Pendidikan Tinggi (PDDikti) (1). Aplikasi 
SISTER digunakan untuk terciptanya integrasi 
data pada seluruh layanan yang ada pada 
lingkungan  Ristekditki (2). Mengingat 
pentingnya fungsi dari aplikasi SISTER maka 
sangat di perlukan peningkatan keamanan pada 
SISTER sehingga aplikasi dapat berjalan 
dengan baik. Aplikasi SISTER yang terpasang 
pada server setiap perguruan tinggi sebagian 
besar hanya mendapatkan akses user bukan 
root, yang menyebabkan tidak terpantaunya 
aktivitas apa yang terjadi di dalam aplikasi 
tersebut, ketika ada aktivitas yang tidak 
semestinya (abnormal) pada server SISTER 
administrator perguruan tinggi tidak dapat 
melakukan apapun karena keterbatasan 
privilege yang di miliki. Beberapa kali server 
SISTER Universitas Muhammadiyah Metro 
mengalami down, hipotesis atau dugaan 
sementara adalah telah terjadi serangan dari 
dalam atau luar server yang mengganggu 
kinerja dari aplikasi. Untuk itu di perlukan 
sebuah tool (alat) yang dapat di gunakan untuk 
memantau trafik mencurigakan dari luar 
maupun dari dalam server SISTER guna 
mencegahnya pada sisi jaringan internet. 
Beberapa serangan yang sering terjadi dan 
sangat popular adalah serangan Distributed 
Denial of Service (DDoS) yang berakibat 
terganggunya akses ke server, sehingga 
availability data menjadi terganggu (3). Dalam 
menganalisis trafik yang ada di dalam jaringan 
dapat menggunakan tool Wireshark dimana tool 
tersebut dapat digunakan untuk capturing data 
yang mengalir pada jaringan|4|, data tersebut 
dapat di manfaatkan untuk di analisis guna 
menemukan trafik yang tidak normal 
berdasarkan indikator tertentu|S|. Wireshark 
memiliki fungsi filtering yang dapat digunakan 
untuk analisis data dengan mudah (6. 
Wireshark dapat menangkap (capturing) data 
dan menampilkan data packet jaringan secara 
detail dan di implementasikan untuk mendeteksi 
serangan TCP SYN Flood DDOS pada jaringan 
(71. 

Berdasarkan pada penelitian 
sebelumnya yang memanfaatkan Wireshark 
guna menemukan aktivitas mencurigakan pada 
sebuah jaringan, maka penelitian ini akan 
berfokus untuk menganalisis packet jaringan 
yang ada pada server SISTER untuk 
menemukan aktivitas abnormal dan melakukan 


penetrasi testing untuk melihat kemampuan 
yang di miliki Wireshark dalam mendeteksi 
serangan DDoS memanfaatkan tool Hping3, 
hasil dari penelitian ini akan di gunakan untuk 
meningkatkan keamanan pada jaringan SISTER 
sehingga aplikasi dapat di akses dengan baik. 


2. METODE PENELITIAN 

Metode penelitian untuk menemukan perilaku 
yang tidak normal, untuk menemukan perilaku 
yang tidak normal pada jaringan dapat dengan 
menganalisa trafik dari jaringan itu sendiri 
dengan memanfaatkan Wireshark (8), Berikut 
ini adalah Gambar 1 yang menunjukan proses 
capturing packet untuk mendeteksi perilaku 
abnormal menggunakan Wireshark. 
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Gambar 1. Eksperimen capturing packet 


Penjelasan Gambar 1: 

a). Pada Gambar 1 yang di tunjukan angka 1 
dan 2 merupakan packet yang keluar masuk 
dari jaringan server SISTER, SISTER 
terpasang dengan mekanisme virtualisasi 
pada Virtualbox yang ada pada sistem 
operasi induk Windows 10, sehingga packet 
yang keluar masuk ke SISTER akan 
melewati interface dari sistem operasi 
Windows 10. 

. Sistem operasi Windows 10 yang menjadi 
jalur keluar masuk packet server SISTER 
akan di amati dengan menggunakan 
Wireshark untuk mencari apakah ada 
aktivitas abnormal pada server. 


b 


— 


Selain melakukan analisis packet untuk 
menemukan aktivitas abnormal pada jaringan, 
penulis akan menguji apakah Wireshark mampu 
mendeteksi serangan dengan cara melakukan 
penetrasi testing pada server SISTER. Berikut 
ini Gambar 2 yang menunjukan proses penetrasi 
testing yang akan di lakukan. 


dng 2 3 
0? 
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Gambar 2. Simulasi penetrasi testing 
Penetrasi testing adalah sebuah prosedur yang 
dilakukan untuk menguji keamanan dari sebuah 
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sistem yang telah dibuat dengan cara melakukan 
simulasi serangan kepada sistem tersebut (9). 

Prosedur dalam melakukan penetrasi 
testing pada Gambar 2 akan di jelaskan sebagai 
berikut: 

a). Pada Gambar 2 yang di tunjukan nomor 1 
akan di lakukan serangan TCP SYN Flood 
menggunakan tool Hping3. 

b). Packet yang mengandung serangan akan 
melalui router jaringan dan di teruskan ke 
server SISTER melalui interface Windows 
10 dan Virtualbox. 

c). Wireshark di pasang untuk menganalisis 
serangan Hping3. 


Dari proses penetrasi testing tersebut penulis 
akan melihat apakah serangan yang di kirimkan 
Hping3 sesuai dengan packet serangan yang 
ditemukan pada Wireshark sehingga akan 
terlihat bagaimana kemampuan Wireshark 
dalam mendeteksi serangan. 


3. HASIL DAN PEMBAHASAN 

3.1 Analisis packet tahap pertama 

Analisis packet tahap pertama adalah ketika 
kondisi server SISTER berjalan seperti 
biasanya, artinya server berjalan tanpa 
perlakuan khusus (penetrasi testing). Berikut ini 
Gambar 3 menunjukan proses capturing packet 
yang di lakukan Wireshark pada interfaces 
SISTER. 


Pete betah 


ambar 3. Capturing packet SISTER 


Proses capturing packets di lakukan selama 3 
jam dengan jumlah 248642 packets. Dari packet 
tersebut kita akan mencari apakah terdapat 
serangan SYN Flood pada jaringan, Pada kuartal 
4 tahun 2021 SYN Flood menjadi metode paling 
banyak di gunakan dalam melakukan serangan 
(10J. Serangan SYN Flood sendiri adalah 
metode serangan dengan mengeksploitasi three- 
way handshaking yaitu mekanisme terbangunya 
suatu koneksi antara client dan server, dimana 


attacker akan mengirimkan packet SYN ke 
server sehingga server merespon dengan 
mengirimkan SYN-ACK packet ke attacker, 
server akan menunggu packet ACK dari 
attacker yang tidak pernah di kirimkan kembali 
ke server, konsekuensinya resource server 
terpakai untuk menunggu packet ACK tersebut 
sehingga server sibuk dan tidak akan dapat 
melayani pengguna lain (11). berikut ini 
merupakan Gambar 4 yang menunjukan proses 
serangan SYN Flood. 
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Gambar 4. Serangan SYN Flood 
(Sumber: Huraj, L., Simon, M., & Horak, T. (2020)) 


Dengan mengetahui mekanisme serangan SYN 
Flood maka hal yang di lakukan adalah dengan 
melakukan filtering pada Wireshark dengan 
menggukan perintah “tcp.flags.syn——1 && 
tcp.flags.ack --0” dimana perintah tersebut 
akan melakukan filtering packet yang memiliki 
TCP flag SYN namun tidak memiliki TCP flag 
ACK. Berikut ini adalah Gambar 5 yang 
menunjukan hasil filtering packet yang di 
lakukan. 
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Gambar 5. Filtering packet SYN 


Dari Gambar 5 terdapat 12228 packets yang di 
tampilkan atau sekitar 4.946 packet yang masuk 
dalam kategori serangan SYN Flood. Gambar 5 
juga menunjukan bahwa packet di tujukan ke 
port 3389 dimana server SISTER tidak 
menjalankan service pada port 3389 (Remote 
Desktop Protocol), sehingga sangat tidak wajar 
apabila terdapat IP Addresses dari Negara yang 
tidak relevan mengakses SISTER pada port 
yang tidak di gunakan dengan jumlah packet 
yang sangat tinggi. Statistik IP Addresses yang 
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melakukan SYN Flood dapat di tampilkan 
dengan menggunakan menu statistik yang ada 
pada Wireshark. Berikut ini Gambar 6 yang 
menunjukan statistik 5 Besar /P Addresses yang 
melakukan SYN Flood. 


Topic / Item Count Average Min Val Max Val Rate (ms) Percent 

“ Source IPv4 Addresses 11090 0.0009 10026 
194.165.16.78 794 0.0001 T.A169 
45.227.254.8 772 0.0001 6.962 
194.165.16.76 72 0.0001 6.96 
194.165.16.77 697 0.0001 6.281 
194.165.16.73 681 0.0001 6.143 


Gambar 6. Statistik SYN F. lood 


Dari 11090 packets 5 IP Addresses tersebut 
menyumbang sekitar 33,590 dari total packets 
161 IP Address. 


3.2 Analisis packet tahap penetrasi testing 
Analisis packet pada saat terjadinya penetrasi 
testing, packet ini akan di amati guna melihat 
akurasi Wireshark dalam mendeteksi tool 
Hping3 yang dapat di gunakan untuk melakukan 
serangan SYN Flood (121,113),(14),(15J. Proses 
penetrasi testing di lakukan dengan mencatat IP 
Address attacker, IP Address attacker di 
tunjukan pada Gambar 7 di bawah ini. 


ms My IP: 110137.38190 


Gambar 7. IP Address attacker 


Setelah mencatat IP Address attacker, proses 
selanjutnya adalah menjalankan Wireshark pada 
sistem operasi induk Windows 10. Setelah 
Wireshark di jalankan, proses serangan 
menggunakan tool Hping3. Berikut Gambar 8 
yang menunjukan proses serangan 
menggunakan Hping3. 
sister.ummetro.ac.id 80 

IHPING sister.ummetro.ac.id (eth0 103.213.116 S set, 40 headers # 0 data bytes 
lenz46 ip-103.213.116.82 ttl-56 DF idz0 spor' zSA segzi 9200 rttz47.9 ms 

2 13.116.82 ttl:56 DF id-0 sport-80 flags-SA seg 0 rtt-31.3 ms 


13.116.82 ttl:56 DF id-0 sport-80 flags-SA seg: W: 0 rtt-70.5 ms 
116.82 ttl-56 DF id-0 sport-80 flags:SA seg: 


56 DF id-0 sport:80 flagszSA seg: 
2103.213.116.82 ttl-56 DF id-0 sport-80 flags-SA seg: 


13.116,82 ttl-56 DF idz0 spor' 
1:56 DF id-0 sport-8 


-- sSister.ummetro.ac.id hp: 
19 


Penjelasan Gambar 8. 

a). Perintah yang di lakukan pada tool Hping 3 
yaitu “hping3 —S sister.ummetro.ac.id —p 
80”. 

b). hping3 digunakan untuk menjalankan tool 
hping3. 


c). —S untuk mengirimkan packet SYN. 

d). sister.ummetro.ac.id merupakan target yang 
akan di serang. 

e). —p 80 digunakan untuk mengirimkan packet 
ke port 80. 


Dari proses serangan menggunakan Hping3, 
serangan tersebut mengirimkan 19 packets ke 
target. Wireshark berhasil mendeteksi serangan 
tersebut, berikut ini Gambar 9 yang menunjukan 
statistik serangan SYN Flood yang terdeteksi 
Wireshark. 


MM Wireshark - Source and Destination Addresses « Ethernet 


Topic / Item Count Average Min Val Max Val Rate(ms) Percent BurstRate Burst Start 


“ Sg P4 Adi, 4 0.0004 10086 00100 0.973 
000002 — 463496 0.0100 1141 
Gambar 9. Statistik penetrasi testing pada Wireshark 


Hasil dari statistik Wireshark memiliki 
akurasi 10090 dengan serangan yang di lakukan 
Hping3, serangan Hping3 memiliki jumlah yang 
sama dengan serangan yang di deteksi 
Wireshark yaitu sebanyak 19 serangan. 


4. KESIMPULAN 

Hasil analisis tahap pertama menunjukan bahwa 
dugaan adanya serangan pada server 
sister.ummetro.ac.id yang menggangu kinerja 
dari server benar, hal tersebut di tunjukan pada 
Gambar 5 yaitu terdapat 12228 packets (4,990) 
dari keseluruhan packets yang melakukan SYN 
Flood attack pada server, serangan di tujukan 
ke port 3389 yaitu port remote desktop protocol, 
server SISTER sendiri tidak menggunakan port 
tersebut dan jarang sekali di akses dari luar 
indonesia. 

Analisis packet pada saat penetrasi 
testing menunjukan bahwa Wireshark mampu 
mendeteksi serangan yang di kirim oleh 
Hping3, packet SYN yang terdeteksi pada 
Wireshark sama dengan packet SYN yang di 
kirimkan Hping3, artinya Wireshark memiliki 
ke akuratan sebesar 10046 di dalam mendeteksi 
serangan SYN Flood. 
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